ATOUT RISK MANAGER N°32

ATOUT RISK MANAGER N°32 I PRINTEMPS 2022 46 Dossier - Prenons les risques d’un nouvel élan commissariat de police, les services d’enquêtes spécialisés, puis le Parquet et organiser la gestion de la communication de crise, en interne ou en externe, afin de protéger l’image de l’entreprise. L’expert en sécurité informatique entre ici en scène pour dimensionner la réponse technique et évaluer où en est l’attaque. Combien de serveurs sont touchés, où ? Le cloud aussi ? Combien de portables, de postes ? Le virus n’est pas encore actif, les serveurs ne démarrent plus, ou bien tout le système d’information est tombé : plus de mails, de téléphone, plus de contacts, plus d’alarme, de badgeuses, de chauffage? « Oui, ça peut arriver. En moyenne, le black-out va durer entre 8 et 10 jours pendant lesquels vous passerez de la sidération au mode guerrier » prévient Tiphaine Romand-Latapie, Prix de la femme cyber 2020. Premières mesures d’urgence : lui donner le contact de la personne qui connaît votre système d’information (SI) et vérifier quevos sauvegardes sont à l’abri. À cet instant, c’est votre bien le plus précieux. Déclenchez ensuite la gestion interne de la crise : comment informer les salariés, comment gérer le travail en mode dégradé, comment payer les salariés ? Simultanément vous allez gérer la relation clients et fournisseurs. S’ils sont connectés au SI, vous allez régler avec votre prestataire technique le risque de propagation de l’attaque à leur propre système. La cellule doit gérer ces décisions dans les premières heures, sans polluer la réponse technique. L’enquête « C’est un peu comme sur une scène de crime : quand le «pirate » est entré dans votre SI ? Par où, qu’a-t-il fait : volé, modifié des données ? A-t-il laissé une trace technique pour le suivre? Pour le savoir, on fige le SI, on copie des disques, l’Active Directory (l’annuaire de votre entreprise d’un point de vue informatique, puisque c’est sûrement là que le «pirate» a créé un compte administrateur), on copie la mémoire vive des ordinateurs (serveurs selon l’état de ses serveurs), et parfois, on retrouve des clés de chiffrement », explique Tiphaine Romand-Latapie. On demande les journaux (les logs) pour avoir le fil des évènements du dernier mois et repérer des faits étranges (par exemple l’utilisation d’un accès d’un vacancier). « Il faut avoir accès à ces journaux sur au moins 90 jours, négociez bien ce point avec vos sous-traitants informatiques» conseille-t-elle. La reconstruction… et la rançon Ensuite, il faut définir les priorités de l’entreprise, puis gérer le dépôt de plainte ainsi que la déclaration à la CNIL en cas de vol de données et la collecte des informations pour l’assureur, ce dernier a besoin de toutes les preuves pour couvrir les conséquences de l’attaque. « Collectez, conservez, justifiez tous les moyens mis en œuvre pour démontrer qu’ils étaient nécessaires pour reconstruire le système », explique Élodie Aubertel. Car l’assureur indemnise pour la restauration du SI tel qu’il était avant le sinistre. Les mesures pour renforcer sa sécurité ne sont pas prises en charge. L’avocat vous aide à gérer la réponse à apporter à la demande de rançon. « Mon opinion : ne pas céder au chantage », dit Valérie Lafarge-Sarkozy. Difficile à comprendre pour le dirigeant qui pense que cela va accélérer la reprise d’activité de son entreprise. L’AMRAE recommande également de ne pas la payer. « «Avant de céder, regardons l’aspect technique : payer la rançon, c’est recevoir un logiciel inconnu censé déchiffrer vos machines, de la part d’un pirate qui est en train de vous faire chanter. Et l’installer aveuglément sur toutes vosmachines. À mon sens, c’est la solution de dernier recours. Prenons un exemple : un criminel vous injecte un poison et vous demande une rançon contre antidote. S’il vous reste cinq mois à vivre, vous préférerez aller à l’hôpital plutôt que de vous «N’appelez pas n’importe qui, c’est un peu comme avec le serrurier d’urgence… on se fait avoir. » Philippe Cotelle, administrateur de l’AMRAE et coprésident de la commission cyber «Oui, ça peut arriver. En moyenne le black-out va durer entre 8 et 10 jours pendant lesquels vous passerez de la sidération au mode guerrier. » Tiphaine Romand-Latapie, Prix de la femme cyber 2020

RkJQdWJsaXNoZXIy MTU2MTAzNg==